特定個人情報の管理と情報セキュリティ

執筆者:影島 広泰(弁護士)

個人番号・特定個人情報の取り扱いについては、第2回コラム(中小企業の実務への影響)にあるとおり厳しい規制があります。今回は、この情報管理について、詳しく説明します。

個人番号・特定個人情報を取り扱う際には、情報が漏えい等しないように「安全管理措置」を講じることが義務づけられています。

安全管理措置として何をしなければならないのかについて、特定個人情報保護委員会が「特定個人情報の適正な取扱いに関するガイドライン」(以下、番号法ガイドラインといいます)を公表しています。民間企業は、この番号法ガイドラインを遵守する体制を構築しなければなりません。

特定個人情報には個人情報保護法も適用されますので、個人情報保護法のガイドラインも遵守しなければなりません。

番号法ガイドラインは、個人番号を取り扱う事務の範囲、特定個人情報等の範囲、特定個人情報等を取り扱う事務に従事する従業者(以下、事務取扱担当者といいます)を明確化した上で、以下の6つの措置を講じることを求めています。

  • 基本方針の策定
  • 取扱規程等の策定
  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置
基本方針の策定

基本方針、いわゆるプライバシーポリシーの策定を行います。ただし、この策定は義務ではありません。

取扱規程等の策定

取扱規程等の策定は義務であるとされています。なお、中小規模事業者においては取扱規程等の策定は義務ではありませんが、その代わり以下を行う必要があるとされています。

  • 特定個人情報等の取り扱い等を明確化する
  • 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する
組織的安全管理措置

一般の民間企業にはシステムログまたは利用実績の記録や、特定個人情報ファイルの取扱状況を確認するための手段の整備等が義務化されています。これに対し、中小規模事業者においては、以下を行う必要があります。

  • 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい
  • 特定個人情報等の取扱状況がわかる記録を保存する
  • 情報漏えい等の事案の発生などに備え、従業者から責任ある立場の者に対する報告連絡体制などをあらかじめ確認しておく
  • 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う
人的安全管理措置

人的安全管理措置ついては中小規模事業者に対する軽減措置はなく、以下を行うことが義務とされています。

  • 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う
  • 事務取扱担当者に、特定個人情報等の適正な取り扱いを周知徹底するとともに適切な教育を行う
物理的安全管理措置

特定個人情報が漏えい等しないように、中小規模事業者は、以下の物理的な安全管理措置を講じることが求められます。

  • 管理区域(特定個人情報ファイルを取り扱う情報システムを管理する区域)及び、取扱区域(特定個人情報を取り扱う事務を実施する区域)を明確にし、物理的な安全管理措置を講ずる
  • 管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる
  • 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる
  • 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する
技術的安全管理措置

特定個人情報が漏えい等しないように、中小規模事業者は、以下の技術的な安全管理措置を講じることが求められます。

  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい
  • 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する
  • 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる

なお、番号法ガイドラインが定める安全管理措置については、中小規模事業者(事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者)に対しては軽減措置が定められています。

  • 個人番号利用事務実施者
  • 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
  • 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」1条1項に定義される金融分野)の事業者
  • 個人情報取扱事業者

マイナンバーコラム

個人番号の収集と保管 影島 広泰(弁護士)
委託によるリスクの転嫁 影島 広泰(弁護士)
税務関連関連の実務への影響 小島 孝子(税理士)
中小企業の実務への影響 影島 広泰(弁護士)
マイナンバーとは 影島 広泰(弁護士)

※当コンテンツは協力企業によりご提供いただいた記事のため、当サイト外にリンクされる場合があります。ご了承下さい。

マイナンバーワークス

マイナンバーコラム

個人番号の収集と保管
影島 広泰(弁護士)
委託によるリスクの転嫁
影島 広泰(弁護士)
税務関連関連の実務への影響
小島 孝子(税理士)
中小企業の実務への影響
影島 広泰(弁護士)
マイナンバーとは
影島 広泰(弁護士)